3
IPv6 über VPN mit Bintec (be.ip)
Hallo zusammen,
ist es möglicherweise jemandem gelungen, IPv6 über einen IPSec-VPN Tunnel zwischen zwei Bintec-Routern laufen zu lassen. Mir will das nicht gelingen.
Ich habe 4 Bintec Router, auf jedem 3 IPSec-VPNs angelegt. Solange ich die im Modus "IP-Version des Tunnelnetzwerks: IP4" lasse funktioniert alles. Das Umschalten auf "IP4 und IP6" führt zu Problemen.
Wenn ich für IKE als ID einen FQDN nehme, passiert nichts anderes, als im Modus "IP4" - IP4- Verkehr funktioniert, IP6 wird nicht übertragen (es werden keine keine SAs mit IP6). Dafür kommt eine Meldung im Protokoll: "authenticication failed".
Wenn ich für den IKE auf ASN-DN umschalte stürzt mindestens einer der beteiligten Router ab.
Ich verwende AES-128 und SHA2-256 mit DH-Gruppe 5
Ich kann keinen Fehler in der Konfiguration erkennen. Sicherheitshalber habe ich alle nicht verwendeten Phase-1 Proflie gelöscht (ich hatte da früher schon mal dass Gefühl, dass man den Router mit zu vielen Profilen durcheinanderbringen kann ...).
Ich möchte eigentlich vermeiden, alle möglichen ID/Verschlüsselungskombinationen auszutesten. Also, falls jemand eine solche Verbindung stabil hinbekommen hat, wäre ich für einen Tip dankbar.
Ich vermute allerdings mittlerweile einen Router-Firmware-Fehler (Die Geräte haben natürlich den aktuellen Versionsstand der Software).
Grüße
lcer
ist es möglicherweise jemandem gelungen, IPv6 über einen IPSec-VPN Tunnel zwischen zwei Bintec-Routern laufen zu lassen. Mir will das nicht gelingen.
Ich habe 4 Bintec Router, auf jedem 3 IPSec-VPNs angelegt. Solange ich die im Modus "IP-Version des Tunnelnetzwerks: IP4" lasse funktioniert alles. Das Umschalten auf "IP4 und IP6" führt zu Problemen.
Wenn ich für IKE als ID einen FQDN nehme, passiert nichts anderes, als im Modus "IP4" - IP4- Verkehr funktioniert, IP6 wird nicht übertragen (es werden keine keine SAs mit IP6). Dafür kommt eine Meldung im Protokoll: "authenticication failed".
Wenn ich für den IKE auf ASN-DN umschalte stürzt mindestens einer der beteiligten Router ab.
Ich verwende AES-128 und SHA2-256 mit DH-Gruppe 5
Ich kann keinen Fehler in der Konfiguration erkennen. Sicherheitshalber habe ich alle nicht verwendeten Phase-1 Proflie gelöscht (ich hatte da früher schon mal dass Gefühl, dass man den Router mit zu vielen Profilen durcheinanderbringen kann ...).
Ich möchte eigentlich vermeiden, alle möglichen ID/Verschlüsselungskombinationen auszutesten. Also, falls jemand eine solche Verbindung stabil hinbekommen hat, wäre ich für einen Tip dankbar.
Ich vermute allerdings mittlerweile einen Router-Firmware-Fehler (Die Geräte haben natürlich den aktuellen Versionsstand der Software).
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 349308
Url: https://administrator.de/contentid/349308
Printed on: April 16, 2024 at 22:04 o'clock
3 Comments
Latest comment
Ich habe noch bintec der Serie RS120 im Einsatz.
Dort musst du im Falle der Verwendung von IPv6 tatsächlich die Firmware tauschen.
Ich weiß jetzt nicht, ob das bei dir zutreffend ist.
BIN WIEDER DRAUẞEN
Dort musst du im Falle der Verwendung von IPv6 tatsächlich die Firmware tauschen.
Ich weiß jetzt nicht, ob das bei dir zutreffend ist.
BIN WIEDER DRAUẞEN
Zitat von @beidermachtvongreyscull:
Ich habe noch bintec der Serie RS120 im Einsatz.
Dort musst du im Falle der Verwendung von IPv6 tatsächlich die Firmware tauschen.
Ich habe noch bintec der Serie RS120 im Einsatz.
Dort musst du im Falle der Verwendung von IPv6 tatsächlich die Firmware tauschen.
Die Geräte (be.ip plus und RS353*) sind "voll = laut Bintec" IPv6 fähig. IPv6 im LAN und am WAN-Interface funktioniert auch. Das Problem besteht lediglich beim Versuch, IPv6 durch die Bintec VPN-Tunnel zu leiten.
habe einen neuen Versuch gestartet. Gemäß http://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/cur ... habe ich ein 48-bit Präfix verwendet.
Im Syslog der bintec be.ip findet man dann folgende Einträge:
unmittelbar danach stürzte der Router ab. Nennt man wohl panic. Das passierte, nachdem ich aus dem LAN die ULA IP6-IP des Routers am anderen Ende des VPN-Tunnels angepingt habe. Die zusätzliche SA für IP6 wird offenbar erst aufgebaut, nachdem ein dorthin zu routendes Paket am Router eintrifft.
Die IP6 Route hatte ich bei beiden Router überprüft. (wird automatisch erstellt, fd40:a:332:1::/64 -> fd40:a:332:1/64 auf das VPN-Interface)
habe immer noch keine Idee und tippe weiter auf Fehler in der Systemsoftware.
Nur so dazwischengefragt - ULA - IP6-Adressen darf man doch "innerhalb der Organistation" routen.
Grüße
lcer
Im Syslog der bintec be.ip findet man dann folgende Einträge:
unmittelbar danach stürzte der Router ab. Nennt man wohl panic. Das passierte, nachdem ich aus dem LAN die ULA IP6-IP des Routers am anderen Ende des VPN-Tunnels angepingt habe. Die zusätzliche SA für IP6 wird offenbar erst aufgebaut, nachdem ein dorthin zu routendes Paket am Router eintrifft.
Die IP6 Route hatte ich bei beiden Router überprüft. (wird automatisch erstellt, fd40:a:332:1::/64 -> fd40:a:332:1/64 auf das VPN-Interface)
habe immer noch keine Idee und tippe weiter auf Fehler in der Systemsoftware.
Nur so dazwischengefragt - ULA - IP6-Adressen darf man doch "innerhalb der Organistation" routen.
Grüße
lcer
